ID-kaardi turvaaugu parandus jõuab inimesteni väga aeglaselt, sajad tuhanded kaardid lähevad enne kinni, Maci-omanikel uued probleemid

Septembri alguses pressikonverentsil oli lootus, et ID-kaartide uuendamine läheb libedalt, ent tegelikult tuleb valmistuda mitmeks tõrkeks. Foto: Sander Ilvest/PM/Scanpix

Kui algselt lubas riik, et turvaveaga ID-kaardid tehakse novembris tarkvarauuendusega korda ja probleem laheneb, siis nüüd on selgunud, et selle tulemusena pannakse sadade tuhandete inimeste kaardid enne kinni, kui tarkvarauuendus neile üldse kohale jõuab ning Maciga läheb selliste ID-kaartide kasutamine senisest palju keerulisemaks.

RIA e-ID valdkonna juht Margus Arm tunnistas, et ID-kaardi tarkvarauuendust suudetakse välja saata ligi 15 000-le kaardile ööpäevas. Kuna aga riik peatab olemasolevate ID-kaartide sertifikaadid juba novembri keskel, jõuab lähipäevadel välja tulev uuendus selleks ajaks maksimaalselt paarisaja tuhande inimese arvutisse. Kokku on veaga kaarte Eestis aga ligi 800 000.

“Tegemist on lihtsalt tehnilise piiranguga, süsteemid ei ole selliste mahtude jaoks mõeldud,” rääkis ta. “Tavakorras toodetakse päevas umbes 2000 kaarti. Lühiajaliselt ei ole võimalik seda mahtu soovitud määrades kasvatada.”

Tempoga 15 000 inimest päevas võtaks kõigi uuendamine aega ligi kaks kuud, aga ID-kaartide sertifikaadid peatatakse juba novembri keskel. Seega on paratamatu olukord, et osade ID-kaardi omanike kaardid ei ole veel uuendatud, kui nad juba e-teenustest ära lõigatakse.

Kasu pole ka sellest, kui inimesed ise käsitsi uut tarkvara lähevad alla laadima, sest pudelikael on just kaardi uuendamise protsessis tarkvara sees, mitte tarkvaras endas.

Riik soovitab: tehke mobiil-ID

Üks leevendus on see, et isegi siis, kui ID-kaart on elektrooniliselt suletud (sertifikaadid peatatud), saab seda oma arvutis ikka rahus uuendada kuni järgmise aasta märtsi lõpuni. Seda juhul, kui tarkvarauuendus lõpuks arvutisse jõuab.

Kindlasti aga tekib vahepealsel ajal paljudel inimestel olukord, kus näiteks netipanka või digiretsepti vaatama enam ei pääse, sest kaart on veel uuendamata ning suure koormuse tõttu ei ole seda võib-olla võimalik kohe ka teha.

Sellest perioodist peab üle saama muu vahendiga ja RIA soovitab selleks väga mobiil-ID-d. “Tehke mobiil-ID ära ja kõik läheb libedalt,” soovitas Arm.

Leevendus on ka see, et neist 800 000-st inimesest ei kasuta ID-kaarti arvutis sugugi kõik, vaid ligikaudu pooled. Ja ka neist 400 000-st lähevad paljud kaardiga arvuti taha näiteks makse deklareerima ainult korra aastas.

Veaga ID-kaartide uuendus peaks algama lähipäevadel. Selle haldustarkvara DigiDoc saab valmis täna ja kui esimesed katsetused kitsamas ringis sellega on tehtud, käivitub lähipäevadel auto-update: inimeste arvutis olev ID-kaardi haldustarkvara hakkab märku andma, et saad teha tarkvarauuenduse ja sellega oma ID-kaardi ära parandada.

Macis tekivad probleemid

Macikasutajad pole kunagi ID-kaarti eriti armastanud, sest tarkvaraga on alati jupsimist. Asi tõotab ainult hullemaks minna.

ID-kaardi oma arvutis uuendamine tähendab RIA arendus- ja uurimistegevuse osakonna juhi Kaur Virunurmi sõnul tehniliselt seda, et 2048-bitiste RSA krüptovõtmete asemel võetakse kasutusele teistsugune krüptoalgoritm: elliptilised kõverad.

“Sisuliselt on see väga hea, sest nende kasutamine nõuab arvutilt vähem jõudlust, samas on need tõestatult turvalisemad,” ütles ta. Eestis on alates 2014. aastast mobiil-ID peal juba elliptiliste kõverate krüptograafia kasutusel.

Probleem on selles, et kui mobiil-ID “tiksub” omaette telefonis, siis ID-kaart peab suhtlema aga otse arvuti ja selles oleva tarkvaraga. Aga ei Apple ega Google ei toeta praegu sellise krüptograafiaga kiipkaartidega veebis autentimist, st sisse logimist.

Teisisõnu, kui veaga ID-kaart ära uuendada, siis Macis Safaris ega Chrome’is sellega e-teenustesse siseneda ei saa. Margus Armi sõnul jääb Macis toimivaks alternatiiviks ID-kaardiga Mozilla Firefox, mis aga tuleb igaühel kaardi kasutamiseks käsitsi häälestada. Juhendid selle kohta avaldab RIA varsti. Ainsaks lollikindlaks lahenduseks Macis on mobiil-ID.

RIA on teinud Google’ile avaliku bugi-raporti, kuna tegelikult peaks Chrome selliseid kiipkaarte toetama. Kui Google’is leitakse, et bugi on oluline ja see ära parandatakse, peaks uus ID-kaart Chrome’is tööle hakkama. Millal see juhtub, ei tea Eestis keegi.

Vanu CDOC-faile lahti ei saa

ID-kaardil on veel üks oluline funktsioon digiallkirjade ja isikutuvastuse kõrval. Sellega saab infot krüpteerida ja dekrüpteerida, kõige tüüpilisemalt puutume sellega kokku CDOC-failidega.

“Väga oluline on aru saada, et kui ID-kaart ära uuendada, siis vanu CDOC-faile lahti ei saa,” ütles Virunurm. “Oleme omalt poolt nii palju rõhutanud kui võimalik, et CDOC-failid on mõeldud info turvaliseks edastamiseks. Kui fail on sinu arvutis kohal, võta sealt dokumendid välja. CDOC-iga ei tasu jääda hoidma dokumente, mille ärakadumisest oleks kahju.”

Kui ID-kaart ära uuendada, siis muutuvad isikuga seotud digitaalsed seritifkaadid ja vanad CDOC-failid jäävad igavesti kinni.

“See on muide täpselt sama olukord, kui ID-kaart ise ära kaob, täpselt nagu mul hiljuti Brüsselis juhtus. Kui ID-kaart on kadunud, siis ei saa ka CDOC-faile lahti,” ütles Virunurm.

Uusi CDOC-faile ei saa teha

Ent probleem on ka sellega, et uuendatud ID-kaart ei toeta veel üldse CDOC-faile.

“See, et ID-kaardi haldustarkvara toetaks ka uuendatud kaardi puhul krüptofaile, CDOC-faile, on meil veel töös,” ütles Arm. Eeldatavasti peaks kuu ajaga töö tehtud saama.

Senikaua aga ei ole võimalik uuendatud ID-kaardiga midagi teha sellisel juhul, kui mõnest e-teenusest tulevad krüpteeritud dokumendid CDOC-failina.

Kõige levinum näide selle kohta on Eestis kasutusel olevad kiiruskaamerad. Kui nende eest liiga kiiresti läbi kihutad, teeb kaamera pildi, tuvastab auto omaniku ja saadab temaga seotud meiliaadressile CDOC-faili, kus on kirjas, kui palju trahvi tuleb maksta. Selliseid teenuseid on veel.

Probleem on maailmas palju laiem ja see on Eestile kahjuks

Kogu ID-kaardi turvavea olemus on aga seotud rahvusvaheliste krüptograafiateadlaste tehtud leiuga, mille  tõsidus tundub iga päeva üha suurem.

Asi on selles, et teadlaste leitud nõrkus on maailmas tohutult palju rohkem levinud kui ainult Eesti ID-kaart. Seda ei maksa meil aga võtta lohutusena, vaid arvestada, et turvavea kallal hakatakse väga tõenäoliselt hammast proovima.

“Esiteks puudutab see [turvanõrkus] kiipkaarte palju rohkemates riikides kui Eesti,” rääkis Kaur Virunum. Austria, Bulgaaria, Kosovo, Malaisia, Brasiilia, loetles ta ainult mõned.

“Mõnes riigis on see kinni pandud nagu Austrias. Slovakkias, kus on ligi 60 000 aktiivset kaarti, avastati asi alles eelmisel nädalal ja kohalikud krüptograafid nõuavad riigilt tegusid.” Tõsi küll, kuigi riike on palju, pole kuskil ID-kaart ühiskonnas nii keskselt kasutusel nagu Eesti.

Aga asi pole ainult riikides. Probleemiks olev Infineoni kood, mis peaks krüptograafia murdmatuna hoidma, aga ei hoia, on kasutusel ka arvutites. Probleem on asjas nimega TPM (Trusted Platform Module), millega tavalistes sülearvutites võidakse kaitsta nii arvutis olevaid andmeid kui ka näiteks kasutajate paroole. Kui see lahti murda, pääseb arvuti sisse vaatama.

“Tähelepanu saab see turvanõrkus väga palju,” võttis Virunurm kokku RIA hinnangu. Ja sellest tulenevadki probleemid.

Murdmine läheb veel kiiremaks

Tšehhide juhitud teadlaste grupp on lubanud 1. novembril oma teadustöö sisu avalikuks teha (eelmine nädal avalikustati üldine info). Virunurm ütles, et suure tähelepanu tõttu hakatakse nende avastatud võtet krüptovõtmete murdmiseks järele proovima pigem varem, kui hiljem. Ilmselt teeb mõni nupumees kasvõi hasardiks valmis vastava tarkvara, mis hakkab lahti murdma krüptovõtmeid, mis on näiteks nii Eesti ID-kaardis kui ka sülearvutites.

Teiseks hakatakse seda lahtimurdmist ilmselt optimeerima. Tšehhide arvutuste kohaselt võtab ID-kaardi võtme murdmine aega “kõigest” 140 aastat, Amazoni serveripargi abiga saaks ühe arvutuse järgi selle ära teha 17 päevaga. Ent teadlased ütlesid isegi, et saaks ka palju kiiremini. Virunurm selgitas, et tõenäoliselt saab võtme murdmise koodi panna mõnda madalama taseme programmeerimiskeelde, mis teeb seda tööd veel kiiremaks.

Seega, tšehhide teadustöö leidis maailmas väga levinud turvatehnoloogias ühe nõrga koha. Kuna tegu pole Euroopa pisi-riigi üksikprojektiga, vaid palju laiem, siis proovivad häkkerid üle maailma seda nõrka kohta murda. Ühtlasi saaks pihta Eesti. Kui kas või üks ID-kaart on murtud, tuleb kõik veaga kaardid sulgeda.